3

我有一个 .Net Web 应用程序,其中使用了一些 iframe 和框架集。为了保护我的站点免受跨帧脚本攻击,我计划在我的 IIS 或 Global.asax 中添加一个值为“SAMEORIGIN”的 HTTP 响应标头“X-Frame-Options”。这是我指的文章:

http://blogs.microsoft.com/cybertrust/2009/02/05/clickjacking-defense-in-ie8/

但是,可能存在这样一种情况,我实际上想在 iframe 内的特定页面上显示来自不同域的网页。那么,是否可以将“仅针对该页面”的“X-Frame-Options”标头的设置覆盖为“ALLOW-FROM”并指定我要允许的站点?如果是,那么我该怎么做?如果我覆盖此页面的设置,这也会改变我的全局设置值吗?

4

1 回答 1

0

您最好的选择可能是在每一页上设置标题。您可以有一个母版页,所有其他页面都从该母版页继承,然后单个页面可以覆盖母版页具有的页眉属性。

于 2015-07-27T19:10:30.107 回答